Kişisel Verileri Koruma Kurumu ("Kurum") tarafından 13 Ekim 2023 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber ("Rehber") yayınlanmıştır. Rehber'de genetik verilerin önemine işaret edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nu ("KVKK") uyarınca özel nitelikli kişisel veri olan genetik verilerin işlenmesi ve ilkeleri, veri sorumlularının yükümlülükleri, veri güvenliği hususları vurgulanarak Kurum tarafından öneri ve tavsiyelerde bulunulmuştur.
Genetik Veri Nedir?
Genetik veri KVKK'da ve ikincil mevzuatımızda açıkça tanımlanmamış olmakla birlikte, KVKK'nın 6. maddesi uyarınca özel nitelikli kişisel veri olarak kabul edilmektedir. Bununla birlikte, Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GVKT") 4'üncü maddesinin (13) numaralı fıkrasında genetik veri "...bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir" şeklindeki tanımlanmıştır.
Bir başka deyişle, genetik veriler, bir kişinin genetik özellikleriyle ilgili, örneğin kişinin DNA veya RNA analizleri gibi biyolojik analizlerden elde edilen veya kişinin kalıtsal veya sonradan kazanılmış genetik özelliklerini içeren kişisel verileri ifade eder.
Bu verilerin anlamlı hale gelmesi için laboratuvar analizi gerekmekle birlikte, analiz edilmese dahi bu genetik örnekler bir gerçek kişiyi belirlenebilir kılma potansiyeline sahiptir. Yine, dikkat edilmesi gereken bir husus da genetik örneklerin uygun saklama koşulları altında tutulması, uzun yıllar sonra da erişimi mümkün kılabilecektir. İşte bu nedenle, genetik örneklerin güvenliği ve kişisel verilerin korunması için gerekli tedbirlerin alınması önem taşımaktadır.
Genetik Verilerin İşlenme Amacı ve Kapsamı
Genetik veriler, hastalık teşhislerinden, soy tespitine, beslenme, spor ya da yetenek konusunda genetik yatkınlık vb. kişisel kullanım gibi farklı amaçlar için işlenebilmektedir. Bu verilerin işlenme amacı, genetik yapıya dair farklı açılardan bilgi edinmek ve bu bilgileri çeşitli amaçlar doğrultusunda kullanmaktır.
Genetik verilerin işleme amacı ve kapsamıyla bağlantılı olarak işlenme şartları değişiklik gösterebilecektir. Bu bağlamda, öncelikle genetik veriler, KVKK kapsamında özel nitelikli kişisel veri sayılmaktadır. Özel nitelikli kişisel veriler kural olarak ilgili kişilerin açık rızası olmaksızın işlenemez. Ancak, sağlık ve cinsel hayat dışındaki özel nitelikli veriler kanunda öngörülmüş olmak şartı ile ilgili kişinin açık rızası olmaksızın işlenebilir. Dolayısıyla genetik veriler kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilecektir.
İkinci olarak, genetik verilerin, kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi de mümkündür. İşte bu halde, genetik verilerin sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenmesi mümkündür.
Genetik Verilerin Yurt Dışına Aktarımı
Genetik verilerin işlenmesi hususunda en önemli sorunlardan birisi de ilgili kişilerin açık rızaları ile tıbbi teşhis ve tedavi amacıyla zorunlu olarak ya da zorunlu nedenler olmaksızın kişilerin tercihine bağlı olarak bu verilerin yurt dışına gönderilmesidir. Genetik verilerin işlenmesi, yalnızca veri örneğinin alındığı bireyi değil, ilgili kişinin aile üyelerini, gelecek nesillerini ve hatta ulusal güvenliği etkileyebilmektedir.
İşte bu nedenle genetik verilerin yurt dışına aktarımı, "Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği" kapsamında yalnızca Sağlık Bakanlığının Ruhsatlı Genetik Hastalıklar Değerlendirme Merkezleri üzerinden kayıt altına alınarak yapılmaktadır. Yine benzeri bir düzenleme Tıbbi Laboratuvarlar Yönetmeliğinin 34'üncü maddesinin (2) numaralı fıkrasında yer almaktadır. Buna göre, yurt dışına tetkik amaçlı örnek gönderme yetkisi sadece ruhsatlı tıbbi laboratuvarlara ait olup, yönetmelik kapsamında tetkik amacıyla insan kaynaklı biyolojik numunelerin, Türkiye'ye giriş ve çıkışı Bakanlığın onayı ile yapılabilmektedir.
Genetik Verilerde Veri İşleyen ve Veri Sorumlusu
KVKK uyarınca, veri sorumlusu, kişisel verilerin işleme amaçlarını ve yöntemlerini belirleyen gerçek veya tüzel kişiyi ifade eder. Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği kapsamında genetik hastalıkların tanısı ve danışmanlık verilmesi amacıyla faaliyette bulunan tüm kuruluşlar ruhsat almak zorundadır.
İşte bu doğrultuda, Genetik Hastalıkları Değerlendirme Merkezlerinin bağlı bulundukları ve verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler (Bakanlık, üniversite, özel hukuk tüzel kişisi vb.) veri sorumlusu sayılmaktadır.
Yine, KVKK'da, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişi veri işleyen olarak tanımlanmıştır. Bu çerçevede örneğin genetik verilerin tutulduğu bulut sistemleri veri işleyen olarak değerlendirilebilecektir.
Bunlara ek olarak, genetik veri analizi yapmasalar da ilgili kişilerin genetik bilgilerine sahip olabilecek kurum ve kuruluşlar ile gerçek ve tüzel kişiler de somut olay bazında KVKK'da uyarınca veri sorumlusu ya da veri işleyen konumunda olabileceklerdir.
Genetik Veri İşleme İlkeleri
1. KVKK'da yer alan genel ilkelere ve 6. maddedeki özel nitelikli verilerin işlenme şartlarına uygun olarak işlenmesi:
Genetik veriler işlenirken anayasal kapsamda temel hak ve özgürlüklerin özüne dokunulmaması gerekmektedir. Genetik veri işleme faaliyetleri, sadece belirli, açık ve meşru amaçlar doğrultusunda, hedeflenen amaca uygun ve gerekli olması, ulaşılmak istenilen amaç ve aracın orantılı yani ölçülü olması ve hedeflenen amacın gerçekleşmesi sonucunda verilerin imha edilmesi gerekmektedir.
2. Genetik verilerin KVKK kapsamında işlenmesi:
Kural:
Genetik veriler özel nitelikli kişisel veri olduğundan kural olarak ilgili kişinin açık rızası ile işlenebilir. Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan rızadır. Genetik verinin işlenmesi için geçerli bir açık rızanın alınabilmesi için bu rızanın belirli bir konu ile sınırlı ve işleme sonuçlarına ilişkin bilgilendirme temelinde özgür irade ile verilmesi gerekmektedir. Yani, ilgili kişinin açık rızası sadece verinin işlenmesi amacıyla geçerlidir ve veriler başka amaçlar için kullanılmamalıdır.
İstisnalar:
i. Genetik verinin sağlık verisi veya cinsel hayata dair veri niteliğinde olmadığı hallerde bunlar, kanunlarda öngörülen hallerde ilgili kişinin açık rızaları aranmadan işlenebilir.
ii. Genetik verilerin sağlık verisi veya cinsel hayata dair veri niteliğinde olması halinde ise bunlar sadece; koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için işlenmesi halinde ilgili kişinin açık rızaları aranmadan işlenebilir.
3. Genetik verilerin yurtdışına aktarılması:
KVKK'nın 9. maddesinde kişisel verilerin yurtdışına aktarılma şartları belirlenmiştir. Bu kapsamda, genetik verinin yurtdışına aktarılabilmesi için:
i. ilgili kişilerin açık rızalarının alınması, veya.
ii. genetik verilerin kanunlarda öngörülme sebebiyle işlenmesi halinde genetik verinin aktarıldığı yabancı ülkede yeterli korumanın bulunması veya yeterli korumanın bulunmaması durumunda Türkiye'deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kurulun izninin bulunması gerekmektedir.
4. KVKK'nın 28. maddesinde sayılan istisnalar kapsamında işlenmesi:
KVKK'nın 28. maddesinin 1. fıkrasının (c) bendi uyarınca kişisel verilerin bilimsel amaçlarla işlenmesi Kanun kapsamı dışında tutulmuştur. Bu bağlamda kapsamda genetik verilerin bilimsel amaçlarla işlenmesi durumunda işleme faaliyetinin aşağıdaki kriterler kapsamında gerçekleştirilmesi gerekmektedir:
i. Genetik veriler, Kişisel Sağlık Verileri Yönetmeliği'ne uygun olarak işlenmelidir. Veriler, kimliği belirlenebilir hale getirilmeden işlenmelidir.
ii. Genetik veriler, son çare olarak zorunluysa işlenebilir.
iii. Kişisel veri güvenliği için gereken önlemler alınmalı ve veriler sınırlı ve ölçülü bir şekilde işlenmelidir.
vi. Tamamlanan araştırmalardan sonra veriler saklanacaksa, uygun saklama ve imha politikalarına uyulmalıdır.
Veri Sorumlularının Yükümlülükleri
Genetik verilerin işlenmesi sırasında, veri sorumlularının KVKK'nın 10. maddesine uygun olarak aydınlatma yükümlülüklerini yerine getirmeleri gerekmektedir. Bu yükümlülüğün yerine getirilmesine ilişkin detaylar "Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ" ile belirlenmiştir. Ancak, genetik verilerin önemi göz önünde bulundurularak, veri sorumlularının, ilgili kişileri daha fazla bilgilendirmesi gerekmektedir. Bu bağlamda, ilgili kişileri, işledikleri genetik verilerin neler olduğu, işleme sebebi işleme amacı ve ihlal durumunda olası riskler gibi ayrıntılara odaklanılmalıdır. Bununla birlikte, genetik verilerin mahiyeti nedeniyle, aydınlatma yükümlülüğünün kapsamı genişletilmeli ve ilgili kişilere genetik verilerinin işlenmesi ile sadece kendilerinin değil aile fertlerinin verilerine de erişilebileceğini konusunda bilgi verilmelidir.
Önemle belirtilmelidir ki Rehberde bahsedildiği üzere Hasta Hakları Yönetmeliğinde bahsedilen "bilgilendirme" ile "aydınlatılmış onam" kavramları KVKK kapsamında "aydınlatma" ve "açık rıza" kavramlarından farklıdır. Bu nedenle hastaya ayrı ayrı sunulmaları gerekmektedir.
Yine, veri sorumlularının KVKK'nın 16. maddesine göre veri işleyen gerçek ve tüzel kişiler, Veri Sorumluları Siciline kaydolmak zorundadır. Bununla birlikte, ana faaliyet olarak özel nitelikli kişisel veri işleyen veri sorumlularının herhangi bir istisna olmaksızın sicile kaydolması zorunludur.
Veri Sorumlularının Alması Gereken Teknik ve İdari Tedbirler
Rehberde, genetik veri işleyen veri sorumlularının; Kanun, yönetmelik, tebliğ ve Kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri; bu açıdan özellikle "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kurulun 31/01/2018 tarihli ve 2018/10 sayılı Kararında yer alan hususlara dikkat edilmesi gerektiği belirtilmiştir.
Bunlara ek olarak, Rehber'de genetik verilerin işlenirken, mevzuat ve rehberlerdeki kişisel veri güvenliği tedbirlerine ek olarak alınması tavsiye edilen teknik ve idari tedbirlere de yer verilmiştir.
SONUÇ: Kurum tarafından yayınlanan Rehber ile, genetik verilerin önemi vurgulanmış ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'na uygun olarak özel nitelikli kişisel veri olan genetik verilerin işlenmesi ve ilgili ilkeleri, veri sorumlularının yükümlülüklerini ve veri güvenliği hususları ele alınmıştır.
Genetik verilerin işlenmesi konusunda Rehber'in sunduğu bilgiler ile ilgili kişilerin ve veri sorumlularının daha iyi bilgilendirilmesi ve bu verilerin güvenli bir şekilde işlenmesi amaçlamaktadır. Bu nedenle, Rehber'de yer alan tavsiye ve yönergelerin dikkatlice takip edilmesi büyük bir önem taşımaktadır.
Originally published by 27 October, 2023
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
